Now the Serbian government is preparing to privatize Telekom, the biggest state-owned telecommunications company. It’s early to say who might buy it, but given the high prevalence of murky private ownership, it may well be a mysterious company from Panama or some other exotic destination.

Offshore paradise for Internet owners

It’s interesting that so many domestic ISPs operate in secrecy, given their unfettered access to users’ highly personal data. While state institutions control the use and sharing of this data, they don’t seem overly interested in who owns the ISPs, some of which disappear into a maze of offshore companies, proxies and lawyers obscuring the real owners.

There are more than 200 ISPs in Serbia but many are small companies, with very little influence. Ten can be described as leaders. Two are state-owned, Telekom and Pošta Net; two others are owned by European communication companies, the Telekom Austria Group (VIP) and Norway’s Telenor Group. Four others are owned by offshores or private equity firms.

That was the case with Sat-Trakt, a company formerly based in the small Serbian town of Bačka Topola. Until recently, its ownership chain led to a company registered offshore in Cyprus, STSE Investment. The Cyprus company is owned by a Panama-based foundation, also named STSE. Its true owner is hidden behind lawyers whose names are listed in the Panamanian business registry.

One of them is a partner in the law office Dankovic Jovanovic Tomic, which notes on its website that it participated in the takeover of Sat-Trakt by the Cyprus fund, STSE. The site also notes that the firm has experience in privatizations, founding companies and real estate.

In late December 2015, ownership of Sat-Trakt changed. The majority owner became Јános Zsemberi who previously held 6 percent; STSE kept just 10 percent.

Another example of a complicated ownership structure is Serbian Broadband (SBB), which is nearly as big as Telekom. Owned by the New York-based private equity firm Kohlberg Kravis Roberts & Co. L.P. (KKR), SBB over the last couple of years has bought several smaller providers and internet hosting firms which serve different parts of Serbia.

KKR also founded the cable TV station N1, which has a deal with America’s CNN to broadcast programs. Previously, SBB was owned by another private equity firm, Mid Europa Partners. Both equity firms owned SBB through the Netherland United Group, a telecommunications leader in southeastern Europe with subsidiaries in Balkan countries.

All of these transactions were routed through different offshore companies to end up in private equity firms, some of whose investors are anonymous. Others are not; one of the best-known investors in the Netherlands United Group is the European Bank for Reconstruction and Development (EBRD).

Another equity fund that owns ISPs in Serbia is 7L Capital Partners, which holds Beotelnet through the Cyprus-registered company, Kerseyco. Like SBB, its investors are unknown. Kerseyco owns one other Serbian ISP, Veratnet.

Problematic owners and unlawful deals

While Serbian ISPs seem scandal-free, the same cannot be said of their owners.

Bogoljub Karić, who accumulated his wealth during the Slobodan Milošević era, fled the country in 2006 when the state began to investigate his businesses. He is now living in Moscow, awaiting court rulings. He and his family retain about 17 percent of one of the 10 biggest ISPs, Yunet International (the state holds a larger stake). The family’s former bank, Astra, holds more than 60 percent of the shares but is now in liquidation.

A more notorious case involves a Slovenian-owned company, Nuba Invest. In 2012, organized crime prosecutors opened an investigation into how Nuba obtained permits to build a network of fiber-optic cables on strategic routes: from Belgrade to the borders with Croatia, Romania, Hungary, Bulgaria and Macedonia.

Investigators say Nuba Invest illegally obtained the permits and edged out competitors thanks to help from influential people in Serbia, including Oliver Dulić, at that time Serbian Minister of Environment and Spatial Planning. Dulić and several associates are awaiting trial in this deal.

One broadband provider licensed to operate in Serbia cropped up in US National Security Agency (NSA) secret documents released by Edward Snowden in 2013.

Level 3 Communications is the third largest provider of fiber-optic broadband in the United States by coverage area. Snowden’s documents indicated the NSA gained access to Google and Yahoo data centers, seeking communications between users by tapping fiber-optic cables that connected the centers.

The cables tapped were owned by Level 3, which declined to comment on the issue after media exposed it in 2013. At about that time, Level 3 received its license to operate in Serbia.

This story has been updated to reflect a change of ownership that occurred during the editing of this story.

Обычно полиции и спецслужбам положено иметь санкцию суда для получения доступа к частной информации пользователей Сети. Однако неясно, утруждают ли себя такими формальностями сербские стражи порядка.

В республике существует закон, который регулирует использование электронных средств связи. Но, похоже, не все интернет-провайдеры понимают, что имеется в виду под определением «фиксированные сведения» (retained data) или как нужно хранить и уничтожать такие данные. Кроме того, из трех провайдеров, которые разрешают силовикам прямой доступ к пользовательской информации, два заявляют, что не ведут учета того, как часто спецслужбы пользуются этой возможностью.

Что знает о вас ваш интернет-провайдер

Всегда, когда вы отправляете электронное письмо, интернет-провайдер фиксирует время отправления, данные адресата и прочее. Такая информация хранится у провайдера и называется «фиксированные сведения».

Некоторые провайдеры помимо интернета предоставляют услуги телефонной связи и СМС-сообщений. При этом они не могут сохранять содержание текстовых сообщений или звонков без санкции суда. Но они фиксируют такие параметры, как время звонка, номер вызываемого абонента, продолжительность звонка, время его окончания и место, откуда совершался звонок (о последнем расскажут «задействованные» базовые станции).

Сербский закон довольно четко определяет, в каких случаях силовые структуры — полиция, служба безопасности или военная контрразведка — могут запрашивать доступ к данным пользователей. Также в законе оговаривается, что основанием для запроса служит разрешение суда. Однако на деле все выглядит совсем иначе.

«У государственных органов де-факто есть возможность доступа к частной информации без решения суда, — утверждает Джордже Кривокапич, глава юридической службы и руководитель целевых программ неправительственной организации Share Foundation, задача которой — защита прав интернет-пользователей в Сербии.

На защите частной сферы

Единственная госструктура в Сербии, призванная охранять персональную информацию, — это Бюро по вопросам общественно значимой информации и защиты персональных данных, или, проще, Бюро информации. Возглавляет этот орган Родолюб Шабич.

На сегодняшний день Бюро представило два развернутых отчета: отчет 2012 года об операторах фиксированной и мобильной связи и отчет июня 2015 года об интернет-провайдерах.

Последний касался запросов о предоставлении информации, которые интернет-провайдеры получали от госорганов на протяжении 2014 года.

Чтобы получить представление об этой практике, на первом этапе были опрошены все действующие в Сербии провайдеры. На втором этапе сотрудники бюро побывали в подразделениях 26 операторов, которые были выбраны в зависимости от их доли на рынке, вида интернет-услуг, зоны покрытия и т. д.

Напомним, что для просмотра «фиксированных сведений» полиции или спецслужбам нужно одобрение суда. К примеру, подается запрос, где точно обозначено, какие данные хотят увидеть стражи порядка, и указывается соответствующее судебное решение. Подобные запросы подавались по факсу, электронной почте, телефону или же лично.

Большинство интернет-провайдеров за 2014 год получили менее десятка таких запросов, но к другим силовики обращались несравнимо чаще. С огромным опережением здесь лидирует Telenor с 4599 запросами, за которым следует Telekom Serbia, куда запросы приходили 344 раза. Затем Vip — 109 запросов и Serbia Broadband (SBB) — 48. Общее число запросов за 2014 год составило чуть больше пяти тысяч.

Схожее исследование 2012 года касалось работы с «фиксированными сведениями» у провайдеров Telekom Serbia, Telenor, Vip и Orion. За годичный период, который закончился в конце марта 2012 года, всего было подано 4382 запроса. К примеру, Telenor получил по электронной почте 1559 запросов от Министерства внутренних дел. Еще 513 обращений пришло за это время в письменной форме от других госорганов.

Этот оператор одобрил все электронные запросы от МВД, хотя ни в одном из них не уточнялось, что послужило юридической основой.

Более быстрый и простой способ — «прямой» доступ к данным. Органы власти могут получить логины и пароли для входа во внутреннюю систему интернет-провайдеров и в любое время просматривать «фиксированные сведения».

В отчете за 2012 год говорится, что неизвестно, сколько людей могут пользоваться такими аккаунтами и сопровождается ли каждый такой «вход» санкцией суда.

«Что касается «прямого» доступа, то речь идет об удаленном доступе по интернету, так что вы не можете знать, есть ли у данного лица судебное постановление, — признается сотрудник Бюро по вопросам информации Радое Гвозденович. — Оператор умывает руки и отдает это на откуп госоргану».

При этом он добавляет, что в таком вопросе «нельзя слепо полагаться на добрую волю госорганов».

Из опрошенных провайдеров лишь Telenor (он один из крупнейших) ведет статистику случаев «прямого доступа».

В 2014 году провайдер зарегистрировал 202 118 случаев прямого доступа к «фиксированным сведениям». Подавляющее большинство приходится на полицию — 199 818 случаев. 1068 раз «прямым доступом» пользовались сотрудники военной контрразведки, 993 раза — служащие Агентства информационной безопасности. Эти госорганы интересовал трафик по 29 333 телефонным номерам и «фиксированные сведения» по 18 020 различным мобильным устройствам.

Однако глава Бюро информации Шабич признается: так как другие провайдеры говорят, что такого учета не ведут, то и о подлинных масштабах этой практики «можно только догадываться».

В 2012 году Telenor применял электронное приложение под названием Info System, позволявшее полиции и двум другим упомянутым спецслужбам заходить в базы данных в любое время и по любому поводу. У этих трех госорганов было в совокупности 75 аккаунтов, которыми пользовалось неизвестное количество людей. За один год через эти аккаунты было выполнено 272 327 входов во внутренние системы, или в среднем 746 раз в день. Ранее Telenor также ежедневно автоматически отправлял в Агентство информационной безопасности все метаданные из коммутационного центра мобильной связи (Mobile Switching Center).

Что-то похожее происходило и в Vip Mobile — «дочке» Telekom Austria Group, зашедшей на рынок Сербии в 2006 году. Для доступа к данным там полиции и спецслужбам выдавали карты с микрочипами. В компании утверждают, что не подсчитывали, сколько карт было оформлено и сколько раз с их помощью просматривались «фиксированные сведения».

В докладе Бюро по вопросам информации 2012 года говорилось, что один из крупнейших интернет-провайдеров Сербии, Orion Telekom, регулярно предоставлял полиции и спецслужбам свободный доступ к спискам электронных писем, которые проходили через сервер компании. Кроме того, Orion Telekom разрешал Агентству информационной безопасности беспрепятственно входить в базы данных всей системы и перехватывать трафик в Сети.

Защитники гражданских «интернет-прав» из Share Foundation проанализировали отчет Бюро информации 2012 года и пришли к некоторым выводам. По их мнению, закулисные приемы обработки «фиксированных сведений» указывают на масштабную практику сбора информации. При этом, хотя закон предписывает хранить такие сведения не больше 12 месяцев, в случае с Агентством информационной безопасности это требование, возможно, не действует, «потому что нет надзорного органа, который бы контролировал работу этого ведомства с «фиксированными сведениями», как констатировали в Share Foundation.

Что же касается интернет-провайдеров, то, как уверяют в Бюро информации, ситуация с доступом к пользовательским данным у них лучше, чем у телеком-компаний, проверенных ранее. Впрочем, помимо проблемы «прямого доступа» встречаются и другие случаи злоупотребления «фиксированными сведениями».

В отчете надзорного ведомства с данными за 2014 год отмечается, что в одном из населенных пунктов в Сербии интернет-провайдер предлагал «поделиться» данными с полицией, даже не требуя официального запроса. Кроме того, в одном из полицейских управлений сотрудники устно просили предоставить (и получали) список абонентов интернет-связи и кабельного телевидения, а также другие списки клиентов и поставщиков провайдера и прочую документацию.

«Фиксированные сведения»

Сербский закон об электронных средствах связи обязывает интернет-провайдеров хранить «фиксированные сведения» на протяжении года, после чего они должны быть уничтожены. Однако в отчете Бюро информации говорится, что это положение большинством провайдеров не соблюдается, более того, часть из них даже не понимают, что значит «фиксированные сведения».

«Проверка подтвердила вынесенные ранее Бюро оценки о неудовлетворительном и откровенно тревожном положении дел с защитой персональных данных в сфере электронной коммуникации, особенно в том, что касается интернет-провайдеров», — заявил глава бюро Шабич.

Так, его подчиненные опросили всех провайдеров, как те уничтожают «фиксированные сведения» после 12 месяцев хранения. Некоторые ответы оказались обескураживающими: «с помощью молотка», призналась одна фирма, а в другой заявили, что сотрудники «рвут информацию и выбрасывают».

Такое обращение с «фиксированными сведениями» выглядит странно с учетом их важности для современного общества.

Джордже Кривокапич из организации Share Foundation говорит: «Значение «фиксированных сведений» для современного информационного общества колоссально». По его словам, можно найти аналитический инструментарий, который способен считывать по таким сведениям «портреты» пользователей мобильной связи или интернета, что вообще-то призвано пресекать законодательство о защите персональных данных. «В таких обстоятельствах потенциал для злоупотреблений огромен, а возможности защиты ограниченны», — признается он.

По закону контроль за деятельностью интернет-провайдеров в Сербии возложен на Министерство торговли, туризма и телекоммуникаций. Сотрудники ведомства сообщили журналистам OCCRP, что с января 2014-го по апрель 2015 года они провели девять инспекционных проверок, причем большинство из них касались использования спектра радиочастот и качества услуг.

«Проверки не выявили никаких проблем», — заверил журналистов замминистра Сава Савич.

Какие же данные собирают и раскрывают провайдеры услуг связи?

По данным отчета Бюро информации за 2012 год, телефонные компании обмениваются персональной информацией своих клиентов, включая национальные идентификационные номера граждан и их адреса. Некоторые также делятся данными о пользовательской активности. Сюда входят сами телефонные номера звонивших и их собеседников, международный идентификатор мобильного устройства (IMEI), сведения о том, какая базовая станция направила звонок, дата, время и продолжительность вызова, вид услуги, персональные данные участников телефонного разговора, а также список сим-карт, которые использовались в этом устройстве за последний год.

Владимир Костич и Бояна Йованович